Articles

Article AUTONOME (Délibération n° 2016-168 du 26 mai 2016 portant avis sur un projet d'arrêté relatif à la mise en œuvre de systèmes de vidéoprotection et à la création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès à certains locaux des ministères de l'environnement, de l'énergie et de la mer, du logement et de l'habitat durable) (demande d'avis n° 1941502))

Article AUTONOME (Délibération n° 2016-168 du 26 mai 2016 portant avis sur un projet d'arrêté relatif à la mise en œuvre de systèmes de vidéoprotection et à la création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès à certains locaux des ministères de l'environnement, de l'énergie et de la mer, du logement et de l'habitat durable) (demande d'avis n° 1941502))


La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de l'environnement, de l'énergie et de la mer et la ministre du logement et de l'habitat durable d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre de systèmes de vidéoprotection et à la création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès à certains locaux des ministères de l'environnement, de l'énergie et de la mer, du logement et de l'habitat durable ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure, notamment ses articles L. 251-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les I et IV de l'article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par la ministre de l'environnement, de l'énergie et de la mer et la ministre du logement et de l'habitat durable d'un projet d'arrêté-cadre portant autorisation de mise en œuvre de systèmes de vidéoprotection et création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès à certains locaux des ministères de l'environnement, de l'énergie et de la mer, du logement et de l'habitat durable.
Les systèmes de vidéosurveillance et les traitements projetés destinés à la sécurisation et au contrôle des accès aux bâtiments de ces ministères ont pour finalité de prévenir, constater et poursuivre les infractions pénales et peuvent, dans certains cas, concerner des lieux intéressant la sûreté de l'Etat et la sécurité publique. Il y a dès lors lieu de faire application des dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée qui soumettent la création de tels traitements à un arrêté ministériel pris après avis motivé et publié de la commission.
L'arrêté projeté a en outre vocation â constituer un acte réglementaire unique au sens de l'article 26-IV de cette même loi. Des engagements de conformité devront être adressés à la commission par chaque responsable de traitement (directions de l'administration centrale, directions générales, directions régionales, etc.), préalablement à la mise en œuvre de ces systèmes. Un dossier technique décrivant le dispositif mis en place est conservé par chaque responsable de traitement. Il est prévu que ce dossier, qui ne sera pas adressé préalablement à la commission au moment de la réalisation de l'engagement de conformité, soit néanmoins tenu à sa disposition. La commission relève que les ministères concernés entendent ainsi simplifier la déclaration de ces traitements, tout en lui permettant d'exercer un contrôle sur les conditions effectives de mise en œuvre des traitements projetés.
Sur les finalités des traitements :
A titre liminaire, le projet d'arrêté utilise le terme de « vidéoprotection » pour désigner les systèmes filmant l'intérieur des locaux des services et établissements non ouverts au public qui présentent des risques particuliers en matière de sécurité des ministères concernés.
Conformément aux dispositions des articles L. 251-1 et suivants du code de la sécurité intérieure (CSI), ce terme concerne uniquement les systèmes de caméras installés sur la voie publique et dans les lieux ouverts au public. La commission demande dès lors que l'intitulé du projet d'arrêté soit modifié afin de faire référence, comme dans le corps de l'arrêté, à la notion de « vidéosurveillance » et non à celle de « vidéoprotection ». Elle rappelle en outre que l'installation de caméras dans des espaces ouverts au public ne saurait être couverte par l'arrêté projeté et doit donc faire l'objet d'une demande d'autorisation auprès de l'autorité préfectorale territorialement compétente, conformément aux dispositions précitées du CSI.
De manière générale, les traitements créés par ce projet d'arrêté ont pour objectif la sécurisation des locaux des services et établissements publics des ministères concernés qui présentent des risques particuliers en matière de sécurité. Plus précisément, l'article 1er du projet d'arrêté prévoit les deux finalités poursuivies : d'une part, la protection des bâtiments par le recours à des dispositifs de vidéosurveillance et, d'autre part, le contrôle d'accès des personnes entrant dans ces mêmes lieux.
Les dispositifs projetés ne visent donc pas à surveiller les membres du personnel. Toutefois, les images collectées pourront être utilisées, le cas échéant, dans le cadre d'une procédure disciplinaire à l'encontre d'un agent ayant mis en jeu la sécurité du site concerné.
Les bâtiments concernés sont les immeubles de ces ministères qui présentent des risques particuliers en matière de sécurité.
Interrogés sur la nature exacte des locaux au sein desquels les traitements projetés pouffant être mis en œuvre, les ministères ont précisé qu'il s'agit des « zones et locaux abritant le système d'information ISIS (messagerie et portail de niveau confidentiel défense) ou abritant des biens équivalents ». Il est également prévu que ces traitements puissent être mis en œuvre au sein de centres serveurs, d'un point d'importance vitale ou encore d'une zone de haute sécurité.
Si la commission prend acte de ces précisions, elle estime que le projet d'arrêté n'est pas suffisamment explicite quant au périmètre au sein duquel les traitements projetés pourraient être mis en œuvre. A défaut pour les ministères concernés de pouvoir dresser une liste exhaustive des « locaux des services et établissements publics » concernés, le ministère a précisé qu'une analyse de risques permettra d'identifier les biens, les zones et les lieux à protéger. La commission demande dès lors que le projet d'arrêté soit complété afin de mentionner que seuls les lieux ayant fait l'objet d'une telle analyse seront concernés par les traitements projetés.
Il est prévu que les dispositifs de vidéosurveillance placés dans les couloirs des zones protégées enregistrent en continu, jour et nuit. Les caméras installées dans les locaux abritant les dispositifs présentant des risques particuliers en matière de sécurité, tels que les chiffreurs confidentiel défense ou secret défense ou encore les systèmes d'information de niveau confidentiel défense, ne sont déclenchées que lorsqu'un individu y accède. S'agissant des caméras installées au sein des locaux des services et établissements publics visés à l'article 1er du projet d'arrêté mais ne filmant pas, spécifiquement les zones ou les biens présentant des risques particuliers en matière de sécurité, il a été précisé que ces caméras n'enregistrent qu'après la fermeture de ces lieux.
Aux termes de l'article 1er du projet d'arrêté, ces dispositifs de vidéosurveillance ne peuvent pas être installés dans les « lieux d'intimité, ceux destinés aux activités syndicales ainsi que leurs accès et les endroits dans lesquels peuvent se tenir des échanges couverts par le secret professionnel ». Sont donc notamment exclus les dispositifs de vidéosurveillance qui filmeraient les WC, les lieux de toilette, les vestiaires, les salles de repos et les locaux syndicaux.
De manière générale, la commission rappelle qu'un dispositif de vidéosurveillance installé sur un lieu de travail ne peut, par principe, avoir pour objet de placer un salarié ou un groupe de salariés sous surveillance constante.
Les dispositifs de contrôle d'accès mis en œuvre reposent sur l'utilisation d'un badge permettant d'accéder aux locaux des ministères concernés. Des capteurs, sondes et dispositifs anti-intrusion sont également installés. La commission relève qu'aucun autre type de dispositif de contrôle d'accès n'est prévu dans le projet d'arrêté (contrôle d'accès humain, par biométrie, etc.). Si, du fait de la spécificité de certains locaux, des dispositifs d'accès biométriques venaient à être mis en œuvre localement, les traitements mis en œuvre devront faire l'objet d'une formalité préalable distincte auprès de la commission.
Sous réserve de ces observations, la commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées et la nature des données traitées :
L'article 2 du projet d'arrêté énumère les catégories de données à caractère personnel et informations enregistrées dans les traitements mis en œuvre.
Aux fins de contrôle d'accès et quelle que soit leur qualité (agents, prestataires, visiteurs), toutes les personnes entrant dans les bâtiments concernés des ministères font l'objet d'une collecte de données, dans la mesure où l'accès aux bâtiments présentant des risques particuliers en matière de sécurité doit faire l'objet d'une délivrance préalable de droits d'accès particuliers.
Sont notamment collectées les données relatives à l'état-civil et à l'identité, les données relatives aux entrées et sorties, aux zones accessibles, le nom de l'agent chargé de la délivrance des droits d'accès, les données relatives aux incidents, les photographies et les images captées par le dispositif de vidéosurveillance.
En ce qui concerne la collecte de la photographie des personnes concernées, la commission relève qu'aucun contrôle d'accès par reconnaissance faciale n'est prévu. Elle prend acte que, à sa demande, le projet d'arrêté sera précisé en ce sens.
D'autres catégories de données relatives aux accès et énumérées au même article du projet d'arrêté sont collectées et enregistrées, s'agissant des agents des ministères et des établissements publics concernés (sexe, nationalité, numéro d'identification, adresse professionnelle, matricule, grade ou qualité, fonction et service d'affectation), des prestataires habilités (sexe, nationalité, type de prestation, nom et adresse de la société d'emploi, direction donneuse d'ordre), ainsi que des visiteurs (motif de la visite, nom de la personne visitée et service d'affectation). Elles n'appellent pas d'observation particulière de la part de la commission.
Aucune donnée relative aux véhicules et au stationnement n'est collectée et enregistrée dans les traitements projetés.
Compte tenu de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
S'agissant spécifiquement des dispositifs vidéo, il était initialement prévu que le son soit systématiquement enregistré.
La commission rappelle que les dispositifs de vidéo couplés à des enregistrements sonores sont par nature plus intrusifs que les dispositifs ne permettant que la seule capture d'images. La collecte du son pourrait en effet conduire le responsable de traitement à disposer d'informations dont il n'a pas à connaître et qui seraient notamment susceptibles de se rapporter à la vie privée des agents concernés.
Cependant, dès lors que des situations spécifiques justifient le recours à de tels dispositifs et que des garanties particulières sont prévues, l'usage de caméras permettant la captation du son peut être admis.
A cet égard, la commission relève que les ministères n'ont apporté aucune précision quant aux raisons qui justifieraient une telle collecte et aux garanties qui seraient mises en œuvre s'agissant des enregistrements sonores. Dès lors, elle estime que la collecte du son dans le cadre des dispositifs vidéo qui seraient mis en œuvre durant les heures d'ouverture des lieux couverts par le projet d'arrêté est excessive et considère que, dans cette hypothèse, le son ne devrait pas être enregistré afin d'éviter toute atteinte disproportionnée à la vie privée des agents, prestataires et visiteurs amenés à fréquenter ces lieux. Elle prend acte que, à sa demande, le projet d'arrêté sera modifié afin de mentionner que la captation du son et l'enregistrement ne sont pas autorisés durant les heures d'ouverture des lieux concernés par les traitements projetés.
En revanche, elle estime que la collecte du son dans le cadre des dispositifs déclenchés en dehors de ces heures apparaît proportionnée au regard des finalités des traitements projetés, dans la mesure où les dispositifs mis en œuvre permettraient, à titre principal, la captation des conversations des seules personnes susceptibles de s'introduire frauduleusement dans les locaux concernés.
En tout état de cause, la commission observe que le projet d'arrêté ne prévoit pas la collecte du son. Or, elle rappelle que, en application de l'article 29 de la loi du 6 janvier 1978 modifiée, les actes autorisant la création d'un traitement en application de l'article 26 de cette même loi doivent obligatoirement préciser les catégories de données à caractère personnel qui y sont enregistrées. Dès lors, elle demande que l'article 2 du projet d'arrêté soit modifié sur ce point et fixe expressément les conditions d'enregistrement du son dans les limites susmentionnées.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté prévoit que les images enregistrées par les caméras de vidéosurveillance sont conservées pendant un délai ne pouvant excéder trente jours. Au terme de ce délai, il est prévu que les enregistrements qui n'ont fait l'objet d'aucune transmission à l'autorité judiciaire ou de poursuites disciplinaires soient effacés. La commission rappelle que cet effacement doit intervenir de manière sécurisée.
Elle estime que cette durée de conservation, qui devra également, le cas échéant, être appliquée aux enregistrements sonores, est conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Cet article prévoit en outre que les données enregistrées aux fins de contrôle d'accès dans les traitements, notamment celles relatives aux déplacements, sont conservées trois ans au plus à compter de la fin de la validité de l'autorisation d'accès pour les agents et prestataires et trois mois au plus pour les visiteurs, la durée précise étant déterminée par chaque responsable de lieu visé par l'arrêté.
Interrogés sur les raisons ayant conduit à retenir une telle durée, les ministères ont précisé qu'il s'agit de la durée nécessaire à l'identification de l'éventuelle mise en œuvre de procédés d'exfiltration de données. Si la commission n'entend pas remettre en cause ces besoins opérationnels, elle rappelle qu'une telle hypothèse ne saurait déterminer la durée de conservation des données enregistrées dans les traitements projetés, laquelle ne peut être établie qu'au regard des finalités poursuivies par ces derniers.
A cet égard, ces traitements doivent permettre d'assurer la protection des locaux visés par le projet d'arrêté en « contrôlant leur accès au moyen de dispositifs d'authentification des personnes, de détecteurs d'intrusion et de l'emploi de caméras de vidéosurveillance », ce qui ne justifie pas de retenir une durée de conservation de trois ans s'agissant en particulier des données relatives aux déplacements des agents et prestataires.
La commission prend des lors acte que, a sa demande, les ministères entendent réduire la durée de conservation des données enregistrées aux fins de contrôle d'accès des agents et prestataires à un an, à compter de la fin de la validité de l'autorisation d'accès. Elle s'interroge néanmoins sur le point de départ de cette durée s'agissant en particulier des données de déplacement des agents et prestataires. A cet égard, elle estime que le point de départ de cette durée devrait correspondre à la date de chaque passage sur le site concerné et non pas à la date de fin de validité de l'autorisation générale d'accès délivrée aux agents et prestataires.
Sous cette réserve, la commission estime qu'une telle durée est, au regard de la nature particulière des lieux concernés, conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 3 du projet d'arrêté prévoit que seuls ont accès aux données à caractère personnel, à raison de leurs attributions respectives :


- les agents, spécialement désignés et individuellement habilités par le responsable des locaux ou le chef d'établissement, chargés de la sécurité et de la surveillance du lieu concerné ;
- le responsable des locaux ou le chef d'établissement au sein duquel les traitements sont mis en œuvre.


La commission rappelle que ces accès doivent nécessairement être limités par le respect du principe du besoin d'en connaître et estime que le projet d'arrêté serait utilement précisé sur ce point.
Ce même article prévoit que peuvent être destinataires, dans la limite de leurs attributions respectives et de leur besoin d'en connaître, de tout ou partie des données enregistrées dans les traitements :


- le chef de service ou son représentant ;
- les personnes habilitées du service en charge de la discipline ;
- les agents des corps et services d'inspection et de contrôle relevant des ministères.


S'agissant des accès des personnes habilitées du service en charge de la discipline ainsi que des agents des corps et services d'inspection et de contrôle, la commission rappelle que ceux-ci ne doivent intervenir qu'en cas d'atteinte avérée à la sécurité d'un site présentant des risques particuliers en matière de sécurité et relevant de l'un des deux ministères concernés.
Elle considère que les finalités des traitements mis en œuvre justifient que l'ensemble de ces destinataires puissent avoir accès aux données collectées dans le cadre de leurs missions et habilitations respectives.
Sur les droits des personnes :
L'article 9 du projet d'arrêté prévoit que les personnes susceptibles d'être filmées sont informées de l'existence d'un système vidéo et des modalités d'accès aux images par affiches apposées à l'entrée des locaux concernés.
Il est également prévu que les caméras soient visibles et non dissimulées et que la mise en œuvre des dispositifs de vidéo n'intervienne qu'après avis des comités compétents en matière d'hygiène, de sécurité et des conditions de travail.
Néanmoins, la commission rappelle que, dans la mesure où les traitements projetés reposeraient en partie sur la captation du son, il revient également aux ministères concernés de délivrer une information spécifique sur ce point.
Par ailleurs, dans la mesure où l'absence d'information des personnes sur le dispositif relatif au contrôle d'accès n'apparaît pas nécessaire au respect des finalités poursuivies par le traitement, les ministères concernés entendent effectivement informer les personnes concernées dans le respect des conditions prévues à l'article 32-I de la loi du S janvier 1978 modifiée. A cet égard, elle prend acte que les personnes sont informées de ces dispositifs au moyen d'un affichage spécifique à l'entrée des lieux, de chartes d'information et au travers de la fiche d'emploi des postes de recrutement.
Le droit d'opposition prévu à l'article 38 de cette même loi ne s'applique pas aux traitements autorisés par le projet d'arrêté, ce qui n'appelle pas d'observation particulière de la commission.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés » et au dernier alinéa de l'article 41 de la même loi s'exercent directement auprès du service gestionnaire du traitement, ce qui apparaît satisfaisant. A cet égard, la commission relève qu'il est ainsi fait application des dispositions prévues au dernier alinéa de l'article 41 de cette même loi, qui permettent, lorsque la communication d'informations aux personnes concernées ne met pas en cause la finalité du traitement, comme cela est le cas en l'espèce, de prévoir un droit d'accès direct pour un fichier intéressant la sécurité publique.
Sur la sécurité des données et la traçabilité des actions :
Toutes les actions réalisées dans les traitements sont conservées pendant une durée d'un an. Ces dernières font l'objet d'un enregistrement comprenant l'identifiant du consultant, la date et l'heure de la consultation et de l'extraction.
La commission prend acte que, en raison des contraintes locales et de la diversité des caractéristiques techniques des dispositifs vidéo et de contrôle d'accès disponibles, les systèmes installés ne seront pas strictement identiques dans tous les bâtiments. Elle rappelle néanmoins que tous les dispositifs mis en œuvre devront bénéficier de mesures de sécurité satisfaisantes afin de préserver la sécurité des données et, notamment, d'empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. A cet égard, la commission relève qu'il est prévu que les éléments constitutifs du dossier technique conservé par le responsable de traitement à l'appui de son engagement de conformité soient détaillés dans une annexe attachée au projet d'arrêté.
Les images collectées sont visionnées en temps réel ou de manière différée, circonscrites à un réseau informatique local (enregistreurs et serveurs locaux dédiés) en l'absence de transmission WIFI. En cas d'intrusion, il sera possible pour le sous-traitant certifié d'effectuer une levée de doute à distance. Cette levée de doute s'effectuera via la mise en œuvre d'un VPN.
La commission prend acte que les données collectées dans le cadre des traitements mis en œuvre ne seront pas transmises à un autre service de l'Etat.
S'agissant des données collectées dans le cadre des dispositifs de contrôle d'accès, la commission recommande que l'accès aux données par les destinataires habilités s'effectue à partir d'un accès local.
Sous réserve de ces observations, la commission estime que tes mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin.